La pérdida de datos sobre las prestaciones por hijos en el Reino Unido fue un incidente de violación de datos en octubre de 2007, cuando desaparecieron dos discos de computadora propiedad de Her Majesty's Revenue and Customs que contenían datos relacionados con las prestaciones por hijos . El incidente fue anunciado por el Ministro de Hacienda , Alistair Darling , el 20 de noviembre de 2007. Los dos discos contenían los datos personales de todas las familias del Reino Unido (Reino Unido) que solicitaban la prestación por hijos a cargo , [1] de las cuales la recepción en el Reino Unido cerca del 100%. [2]
La pérdida
Los discos fueron enviados por personal subalterno de HM Revenue and Customs (HMRC) con sede en Waterview Park en Washington , Tyne and Wear , a la Oficina Nacional de Auditoría (NAO), como correo interno no registrado a través de TNT el 18 de octubre. El 24 de octubre, la NAO se quejó al HMRC de que no había recibido los datos. El 8 de noviembre, se informó de la pérdida a altos funcionarios de la HMRC, y el 10 de noviembre se informó al Ministro de Hacienda , Alistair Darling . [3] El 20 de noviembre, Darling anunció:
El sistema postal interno de HMRC, operado por el mensajero TNT, envió a la NAO dos discos protegidos con contraseña que contenían una copia completa de los datos completos de HMRC en relación con el pago de la prestación por hijo. El paquete no se registró ni registró. Parece que los datos no llegaron a la dirección en la NAO. [1]
Se pensó que los datos perdidos afectaban a aproximadamente 25 millones de personas en el Reino Unido (casi la mitad de la población del país). Se informó que los datos personales de los discos faltantes incluían nombres y direcciones de padres e hijos y fechas de nacimiento de los niños, junto con los números de la Seguridad Social y los datos bancarios o de la sociedad de crédito hipotecario de sus padres. [3]
La "protección por contraseña" en cuestión es la proporcionada por WinZip versión 8. [4] Este es un esquema propietario débil (cifrado sin nombre y algoritmos hash ) con ataques bien conocidos. [5] Cualquier persona competente en informática podría romper esta protección descargando herramientas fácilmente disponibles. La versión 9 de WinZip introdujo el cifrado AES , que habría sido seguro y solo se podría romper si se conociera correctamente la contraseña .
En una lista de preguntas frecuentes, [6] en el sitio web de BBC News, se informó que el desglose de la pérdida es:
- 7,25 millones de reclamantes
- 15,5 millones de niños, incluidos algunos que ya no cumplen los requisitos, pero cuya familia solicita un hijo menor
- 2,25 millones de 'beneficiarios alternativos', como socios o cuidadores
- 3.000 'nombrados' que reclaman el beneficio según las instrucciones de la corte
- 12.500 agentes que reclaman el beneficio a nombre de un tercero
Mientras que los ministros del gobierno afirmaron que la culpa era de un funcionario subalterno, los conservadores dijeron que la culpa era en parte de la alta dirección. Esto se basó en una afirmación de que la Oficina Nacional de Auditoría había solicitado que los datos bancarios se eliminaran de los datos antes de que se enviaran, pero que HMRC había denegado esta solicitud porque sería "demasiado costosa y complicada". [7] Los correos electrónicos publicados el 22 de noviembre confirmaron que los altos funcionarios de la HMRC habían sido informados de la decisión por motivos de costo de no eliminar información confidencial. [8] El costo de eliminar información confidencial se ha calculado en 5.000 libras esterlinas. [9] Aunque se encontró que el costo era sustancialmente menor (£ 650) en un estudio académico. [10]
Según una revista especializada en tecnologías de la información Computer Weekly , dijo que en marzo de 2007, la NAO había pedido que se enviara por correo postal en CD la información completa de la base de datos de prestaciones por hijos, en lugar de una muestra de la base de datos. La primera vez que se hizo esto, todo salió bien y el paquete se registró por correo. Sin embargo, esta vez, se anuló el registro a través del servicio de mensajería. [11]
Más tarde se reveló, el 17 de diciembre de 2007, que el manual de protección de datos para HMRC estaba en sí mismo restringido solo a los miembros del personal de alto nivel, no a los funcionarios públicos subalternos que solo tenían un resumen de lo que dice el manual sobre seguridad. [12]
Otros escándalos de datos
A esto le siguieron varios otros escándalos de datos. El 17 de diciembre, Ruth Kelly reveló que los detalles de tres millones de conductores aprendices se perdieron en los Estados Unidos . Sin embargo, los únicos detalles que se dijo que se perdieron fueron: nombre, dirección, número de teléfono, la tarifa pagada, el centro de pruebas, el código de pago y el correo electrónico , por lo que no se produjo mucho pánico debido a la reducción del riesgo de fraude financiero . El 23 de diciembre se reveló que nueve fideicomisos del Servicio Nacional de Salud (NHS, por sus siglas en inglés ) también habían perdido los datos de cientos de miles de pacientes, parte de su información de archivo, parte de sus registros médicos, detalles de contacto y datos financieros blandos. Algunos otros fideicomisos también perdieron datos, pero los encontraron con bastante rapidez. Varias otras empresas del Reino Unido también han admitido fallas de seguridad. [13]
Respuesta
Darling afirmó que no había indicios de que los detalles hubieran caído en manos criminales, pero instó a los afectados a controlar sus cuentas bancarias. [1] Dijo: "Si alguien es víctima inocente de un fraude como resultado de este incidente, las personas pueden estar seguras de que están protegidas por el Código Bancario para que no sufran ninguna pérdida financiera como resultado". Luego, HMRC estableció una línea de ayuda de prestaciones para niños para aquellos preocupados por la pérdida de datos. [3]
El incidente fue una violación de la Ley de Protección de Datos del Reino Unido y resultó en la renuncia del presidente de la HMRC, Paul Gray ; Darling comentó que los discos probablemente fueron destruidos cuando "la búsqueda estaba en marcha, probablemente en unos días" y que había una estructura administrativa "opaca" en HMRC y era difícil ver quién era responsable de qué. [14] Posteriormente se descubrió que Gray estaba trabajando en la Oficina del Gabinete. [15] [16] La Policía Metropolitana y las Comisión Independiente de Quejas contra la Policía tanto investigó la violación de la seguridad, y los agentes de policía uniformados investigaron las oficinas HMRC. La pérdida provocó muchas críticas por parte del líder interino de los demócratas liberales Vince Cable y del canciller en la sombra George Osborne . Osborne dijo:
Seamos claros sobre la magnitud de este error catastrófico: los nombres, las direcciones y las fechas de nacimiento de cada niño en el país están en dos discos de computadora que aparentemente se pierden en el correo, y los detalles de la cuenta bancaria y el Seguro Nacional. diez millones de padres, tutores y cuidadores han desaparecido. [3]
Además, dijo que fue el "golpe final para las ambiciones de este gobierno crear una base de datos nacional de identificación ". Cable también criticó el uso de discos en la era moderna de la transferencia electrónica de datos. Los portavoces de Gordon Brown , sin embargo, dijeron que el Primer Ministro apoyaba plenamente a Darling y que Darling no había expresado ninguna intención de dimitir. [3]
La reacción general del público fue de ira y preocupación. Los bancos, las personas, las empresas y los departamentos gubernamentales se volvieron más atentos al fraude de datos y el robo de identidad, y el gobierno se comprometió a tener más cuidado con los datos. El público y los medios de comunicación estaban particularmente enojados por el hecho de que los datos no estaban registrados o grabados, y que no estaban encriptados de forma segura.
Nick Assinder, corresponsal político de la BBC , expresó la opinión de que creía que Darling estaba "en tiempo prestado". [17] George Osborne , quien cuestionó si Darling estaba "a la altura del trabajo", sugirió que sería cuestión de días antes de que se tomara una decisión sobre el futuro de Darling. [18] Sin embargo, Darling siguió siendo canciller hasta la derrota laborista en 2010.
TNT declaró que, dado que la entrega no se registró, no sería posible ni siquiera determinar si realmente se había enviado, y mucho menos adónde fue. [19]
Fraude por domiciliación bancaria Jeremy Clarkson
El 7 de enero de 2008, Jeremy Clarkson fue objeto de un fraude por domiciliación bancaria después de publicar su cuenta bancaria y los detalles del código de clasificación en su columna de The Sun para señalar que la preocupación pública por el escándalo era innecesaria. Escribió: “Todo lo que podrá hacer con ellos es poner dinero en mi cuenta. No lo saques. Sinceramente, nunca había conocido semejante palabrería sobre nada ”. Luego, alguien usó estos detalles para configurar un débito directo de £ 500 a la organización benéfica Diabetes UK . En su próxima columna del Sunday Times , Clarkson escribió: "Me equivoqué y fui castigado por mi error". [20] Según los términos de la Garantía de domiciliación bancaria, el pago podría revertirse.
Ver también
- Lista de pérdidas de datos del gobierno del Reino Unido
- Violaciones de seguridad del gobierno del Reino Unido
Referencias
- ^ a b c "Darling admite la pérdida de 25 millones de registros" . BBC . 2007-11-20 . Consultado el 20 de noviembre de 2007 .
- ^ "Presión sobre Darling por los registros" . BBC . 2007-11-20 . Consultado el 22 de noviembre de 2007 .
- ^ a b c d e "Las familias del Reino Unido se ponen en alerta de fraude" . BBC . 2007-11-20 . Consultado el 20 de noviembre de 2007 .
- ^ "HMRC Lost Discs & Encryption" .
- ^ "Preguntas frecuentes sobre recuperación / descifrado de contraseñas" . Consultado el 5 de febrero de 2008 .
- ^ "Desastre de datos: sus consultas respondidas" . BBC . 2007-11-21 . Consultado el 21 de noviembre de 2007 .
- ^ "Nuevas preguntas sobre la crisis de datos" . BBC . 2007-11-23 . Consultado el 22 de noviembre de 2007 .
- ^ Correo electrónico de HMRC a NAO , 13 de marzo de 2007. Sitio web de NAO. Consultado el 23 de noviembre de 2007.
- ↑ £ 5,000 habrían hecho seguros los discos HMRC , 23 de noviembre de 2007. telegraph.co.uk. Consultado el 25 de noviembre de 2007.
- ^ La eliminación de datos confidenciales sobre prestaciones por hijos habría costado 650 libras esterlinas , 19 de diciembre de 2007. www.port.ac.uk. Consultado el 20 de diciembre de 2007.
- ^ "Faltan CDs de prestaciones por hijos: qué salió mal y por qué habría continuado independientemente" . ComputerWeekly.com . Consultado el 17 de diciembre de 2007 .
- ^ "El manual de la HMRC sobre protección de datos era datos protegidos" . El registro . Consultado el 17 de diciembre de 2007 .
- ^ "Las empresas admiten dos casos más de pérdida de datos personales" . 2007-12-11 . Consultado el 5 de febrero de 2008 .
- ^ Querido, Alistair (2011). De vuelta del borde: 1.000 días en el número 11 . Atlantic Books. ISBN 0857892797.
- ^ http://www.channel4.com/news/articles/politics/domestic_politics/paul+gray+back+at+work/1136847
- ^ Summers, Deborah (20 de noviembre de 2007). "Datos personales de todos los niños en el Reino Unido perdidos por Hacienda y Aduanas" . The Guardian . Londres . Consultado el 20 de noviembre de 2007 .
- ^ "Evaluación del daño político, Darling y Brown" . BBC . 2007-11-20 . Consultado el 20 de noviembre de 2007 .
- ^ Ministros bajo fuego por registros BBC News recuperado el 21 de noviembre de 2007
- ^ CDs 'May Never Have Left The Building' Sky News - obtenido el 22 de noviembre de 2007
- ^ Clarkson picó después de la broma del banco , BBC News
enlaces externos
- Declaración de Alistair Darling al Parlamento
- Carta de disculpa de HMRC
- Brown se disculpa por la pérdida de registros , con cronología de eventos